近日，安天 CERT 在梳理網絡安全 事件時發現一個名為 Ursnif 的銀行木馬 變 種 程 序。Ursnif 又 名 Dreambot，Gozi 和 ISFB，多年來一直活躍在境外，此 次 Ursnif 銀行木馬在國內爆發，主要借 助 Pushdo 釣魚郵件僵尸網絡進行傳播。 Pushdo 釣魚郵件僵尸網絡，是由數量龐大 的計算機構成的能夠自動對外發送釣魚郵 件的網絡。攻擊者將已感染的機器變為垃 圾郵件分銷點，以此控制更多的機器。

     該釣魚郵件以偽裝成極具誘惑性的 DHL 快遞單為誘餌，誘使用戶打開附件中 的 Excel 文 檔。 該 Excel 文 檔 中 包 含 惡 意 宏代碼，用戶一旦啟用宏，釣魚文檔就開始向計算機釋放 Ursnif 銀行木馬和 Pushdo 釣魚郵件投遞器。Ursnif 銀行木馬執行后， 使用了反調試技術使其難以分析。例如， 該木馬隱藏了一些 API 函數，每次調用 這些函數時都會動態解析，因此靜態分析 十分困難。并且主模塊中的大多數數據都 是加密的，只有在運行時才會解密。在進 行進程分析時，會有非常多的“iexplorer. exe”進程啟動和結束，并且發現該進程中 有流量進行傳輸。主要原因是該木馬使用 COM 實例將數據發送到 C&C。用戶電腦 中存儲的銀行賬戶，瀏覽器憑證等敏感信 息都將被竊取。

      安天 CERT 提醒廣大政企客戶，要提高網絡安全意識，在日常工作中要及時進 行系統更新和漏洞修復，不要隨意下載非 正版的應用軟件、非官方游戲、注冊機等。 收發郵件時要確認收發來源是否可靠，更 加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習 慣。確保所有的計算機在使用遠程桌面服 務時避免使用弱密碼，如果業務上無需使 用遠程桌面服務，建議將其關閉。

      目前，安天追影產品已經實現了對該 類木馬的鑒定；安天智甲已經實現了對該 木馬的查殺。